TorrentLocker, Crypt0L0cker opis zagrożenia plus pytanie

Question

TorrentLocker: złośliwa faktura za telefon

W tym artykule opisano mniej więcej jak działa to złośliwe oprogramowanie. Jest tam napisane, cytuje:

"Aby zapobiec zaszyfrowaniu plików krytycznych dla działania systemu, TorrentLocker stosuje podejście opierające się na czarnej liście. W próbce można znaleźć listę wykluczonych z szyfrowania rozszerzeń i identyfikatorów CSIDL ścieżek.

'exe','dll','sys','vdx','vxd','com','msi','scr','cpl','bat','cmd',
'lnk','url','log','log2','tmp','###','ini','chm','manifest','inf',
'html','txt','bmp','ttf','png','ico','gif','mp3','wav','avi','theme','evtx','folder','kdmp' "

Moje pytanie jest pewnie naiwne ale zastanawiam się co się stanie gdy zrobimy sobie kopię wszystkich dokumentów, spakujemy ją do pliku .zip i zmienimy rozszerzenie na .exe, lub utworzymy archiwum SFX, które ma natywne rozszerzenie .exe. Czy to nam zapewni bezpieczną kopię?

Z góry dziękuję za odpowiedź.

Answer 1

Nic nie zapewni bezpiecznej kopi. Nie ma narzędzi/metod/sposobów dających 100% bezpieczeństwa ale są narzędzia/metody/sposoby, które są trudne do złamania (lub na chwilę obecną nie do złamania) wcześniej czy później znajdzie się sposób aby coś złamać/ominąć.

Zaraz gro osób zagotuje się i napisze, o nowych metodach szyfrowania itp. ale jak cofniemy się kilka/kilkanaście lat wstecz to przypomnimy sobie, że zabezpieczenia z tamtych lat, w tamtych latach były git a dziś już nie.

Jedyne co możemy ze swojej strony zrobić to myśleć nad tym co robimy na swoim kompie i dbać o aktualizację OS i programów(w tym przeglądarek) z których korzystamy. Dla zwykłego Kowalskiego to wystarczy.

Mając pliki w zaszyfrowanym kontenerze, np kontener Veracrypt, po ataku ransomware pliki powinny działać, jeśli wersja cryptolockera jest kierowana tylko znanych typów plików a nie na metody programów do szyfrowania danych(tych po dobrej stronie mocy :) ). Z drugiej strony wcześniej czy później ktoś przeanalizuje działanie w/w programów i nie wykluczone, że nie znajdzie jakiejś furtki umożliwiającej atak na taki kontener.

skoro zipa można ponownie zzipować to wg mnie nie ustrzeżesz się w ten sposób jeśli targetem ransomware będzie również plik archiwum. zip,gz, tar itp

ja wiem, że to poniższe nie jest odpowiedzią na pytanie ale stosuję proste zasady jeśli chodzi o mejle i załączniki:

1.Jeśli e-mail wydaje mi się podejrzany,kasuję go bez otwierania
i czytania. Jeśli komuś zależy na skontaktowaniu się ze mną na pewno dotrze do mnie innymi kanałami.

2. Bezwarunkowo zawsze ale to zawsze skanuje wszystkie wiadomości jak mają jakiś załącznik.

3. Odpowiadam sobie na pytania: Czy znam nadawcę?Czy otrzymałem kiedykolwiek mejla od tego nadawcy? Czy czekałem na mejla od nadawcy? Czy tytuł wiadomości nie jest dziwny?

4. Nawet jeśli żona wysyła mi mejla z załącznikiem lub linkiem to potwierdzam np przez telefon fakt wysłania przez nią mejla i zawartości.

5. jak mam czas to wrzucam sobie mejla na odseparowaną wirtualkę(odcinam wyjście na świat i otwieram wiadomość).

6....lub najnormalniej pytam googla o nadawcę, temat wiadomości, nazwę pliku z załącznika, link (wujek google wie wszystko, a jeśli nie mogę czegoś znaleść w google tzn, że albo źle o to pytam albo to coś nie istnieje)

Czasami z takich ataków na plikach można sie wiele nauczyć (m.in jak się bronić)

Jeśli ktoś w/w odbiera jako chorobę psychiczną lub/i nadgorliwość tzn, że nie zdaje sobie sprawy z tego co wędruje po łączach :) lub nigdy (nie stracił danych, pieniędzy, nerwów, itp)

Gdybym był hakierrrem to użyłbym socjotechniki aby poznać swoją ofiarę(jeśli uznałbym, że to człowiek myślący i miałbym marne szanse na to, że otworzy ode mnie plik/link szedłbym do niego przez jego bliskich (stąd pkt 4.)

co do załączników - prawidłowego pdfa też powinno się wziąć pod lupkę. pdfa też nie trudno spreparować (można w nim zapisywać js, który wykonuje się po odpaleniu pdfa(idąc dalej wykorzystać dziury w OS i wrzucić jakiś proces systemowy) - to nie jest wyssane z palca :)

Reasumując:

Nie ma 100% ochrony przed czymkolwiek. Nawet stosując w/w obostrzenia przy odbieraniu poczty, wcześniej czy później przez rutynę możemy się zapomnieć i zrobić o jeden klik za daleko:)

Bo przecież najpierw, ktoś wynajduje jakąś podatność na atak, która jest często wynikiem błędu oprogramowania , nie odkrytą dotąd dziurą w OS, wykorzystuje ją do złych rzeczy w jakiś określony zaprogramowany przez siebie sposób, a później powstaje fix na w/w podatność i aktualizacja do antywirusa z definicją nieporządanego zachowania na sprzęcie.

pozdr.

Comments

Zdecydowanie masz coś z głową.  Skoro  wpadles juz w tak  zaawansowana  skrajność to odłącz internet. Od 20 lat korzystam z internetu  w różny  sposób w tym kilka bez żadnych  antywirusów i jeszcze nigdy mi się nic nie stało.

---

no to szczęściarz z ciebie :)

tak, mam coś z głową i pewnie dlatego od kilku lat zajmuję się bezpieczeństwem aplikacji ;)

pewnie dlatego też jeżdżę na niebezpieczniki na szkolenia z pentestów.

pewnie dlatego codziennie przy porannej kawie sprawdzam czy są jakieś podatności m.in na exploit-db.com i pewnie dlatego staram się najszybciej jak to możliwe łatać dziury.

pewnie też przez zaawansowaną skrajność używam abuseip, shodana i metasploita, whiresharka do celów służbowych

nie musisz się ze mną zgadzać, nikt nie musi. to nie jest popadanie w paranoję tylko czyste fakty. każdy z treści wyciągnie to co mu potrzebne.

graj dalej w mario2 :)

---

Nie obchodzi mnie co Ty człowieku robisz w życiu, dla mnie możesz nawet kopać robaki jak ci to sprawia przyjemność. Odniosłem się, do twoich punktów nt otwierania poczty. Masz paranoje i tyle.

---

przy tym czym się zajmuję muszę ją mieć.

a Ty człowieku z takim podejściem do użytkowników jak te... nie wiem co tu jeszcze robisz....zmień target do trollowania bo przez takich baranów jak ty ludziom odechciewa się pomagać/odpowiadać innym w obawie o tego typu komentaże.

i gówno CIĘ obchodzi czy mam paranoję czy nie ;)

jest pytanie - jest odpowiedź. Tyle na ten temat.

---

Noo komentaŻe masz świetne . Co za analfabetyzm.

 

Answer 2

Witaj!
Możesz także sprawdzić tę witrynę, aby uzyskać więcej informacji o ransomware Crypt0l0cker i Torrentlocker (http://knksoftware.pl/ransomware/crypt0l0cker).